通过一种高诊断性、与质量管理兼容的集成电路来实现与B级汽车安全完整性（ASIL B）兼容的汽车安全相关的功能制造技术

一种汽车内燃发动机电子控制单元，其用来实现具有预定的汽车安全完整性等级的安全相关的功能；其中汽车电子控制单元包括微控制器和与微控制器不同且与其通信的集成电路；其中微控制器被设计用于实现一个或多个其汽车安全完整性等级与汽车电子控制单元所需要的汽车安全完整性等级相同的安全相关的功能；其中集成电路被设计用于实现一个或多个其汽车安全完整性等级低于微控制器的汽车安全完整性等级的安全相关的功能；其中集成电路还被设计用于为每个所实现的安全相关的功能实现相应的诊断功能，诊断功能被设计用于检测安全相关的功能的实现中的故障；以及其中微控制器被设计用于为每个所实现的诊断功能实现相应的监测功能，监测功能被设计用于监测集成电路的相应的诊断功能的实现，以检测那些可能损害诊断功能的诊断性能的故障。

【技术实现步骤摘要】
通过一种高诊断性、与质量管理兼容的集成电路来实现与B级汽车安全完整性(ASIL B)兼容的汽车安全相关的功能
本专利技术涉及通过一种高诊断性、与质量管理(QM)兼容的集成电路来实现与B级汽车安全完整性(ASIL B)兼容的汽车安全相关的功能。
技术介绍
众所周知，安全是汽车工业中主要议题之一。机上的电动与电子系统集成需要开发过程和安全内容，且同时需要机会提供所有合理的安全目标都已满足的证明。 基于分布在不同的电子控制单元(通常由不同供应商开发)中的功能的新技术，增加了复杂性、软件内容、机电一体化的实现，并因此增加了系统和硬件故障的风险。 汽车系统中电动与电子装置(包括可编程设备，以及机电组件)的集成度的增加导致了国际标准ISO 26262的引入，该标准由工业中的电动/电子系统的功能安全标准IEC61508来处理。 ISO 26262标准提供了用于减少系统和硬件故障影响的过程和产品要求。此标准涉及应用于汽车领域的功能性安全概念，同时追求没有由所述系统的意外行为产生的危害导致的不可接受的风险。 ISO 26262标准在指定风险和降低风险的需求时，规定了四种汽车安全完整性等级(ASIL)。ASIL能够用四个不同的值表示安全相关的功能，用字母表示，最低等级用D表示，其就安全完整性而言是最严格的等级，最高等级用A表示，其是最低的安全完整性等级。ASIL同时可以用QM(质量管理)值表示，但是其被指定为非-安全相关的功能。 由ISO 26262标准提出的危害和风险的评估，以及参考文件“StandardizedE-Gas-Monitoring Concept for Engine Controls of Otto and Diesel Engines，，(德国汽车工业协会或者VDA(Verband der Automobi I Industrie)出版，5.0版本)指出在管理由内燃发动机提供的扭矩供给中所涉及的汽车安全相关的功能的实现具有ASIL B。
技术实现思路
设计、开发和制造能实现与ASIL B相兼容的汽车安全相关的功能的集成电路需要大量的资源。希望定义一种更加实惠的解决方案，其允许通过集成电路满足在上述标准和上述文件中所述的需求，虽然该集成电路由质量管理标准来设计、开发和制造，但允许根据上述标准和文件中所述内容来实现ASIL B的安全相关功能。 因此，本专利技术的目的在于提供一种解决方案，其能允许满足上述需求。 根据本专利技术，提供一种汽车内燃发动机电子控制单元，其用来实现具有预定的汽车安全完整性等级的安全相关的功能；其中汽车电子控制单元包括微控制器和与微控制器不同且与其通信的集成电路；其中微控制器被设计用于实现一个或多个其汽车安全完整性等级与汽车电子控制单元所需要的汽车安全完整性等级相同的安全相关的功能；其中集成电路被设计用于实现一个或多个其汽车安全完整性等级低于微控制器的汽车安全完整性等级的安全相关的功能；其中集成电路还被设计用于为每个所实现的安全相关的功能实现相应的诊断功能，诊断功能被设计用于检测安全相关的功能的实现中的故障；以及其中微控制器被设计用于为每个所实现的诊断功能实现相应的监测功能，监测功能被设计用于监测集成电路的相应的诊断功能的实现，以检测那些可能损害诊断功能的诊断性能的故障。 【附图说明】 图1示出了原理方框图，其示出了这样的方法，其中按照质量管理标准由F表示的汽车安全相关的功能可以通过其实现方法而如此实现为与ASIL B兼容，其中可以按照质量管理标准而开发诊断功能DIAG，以及其中可以按照ASIL B标准而开发监测功能MON ;功能F和功能DIAG的实现分配到集成电路(U-chip)上；而功能MON的实现则分配到微控制器μ C上。 图2示出了由集成电路实现的所述功能的方框图。 图3示出了由图1概略示出的由集成电路U-chip实现的一般诊断功能DIAG的方框图。 图4示出了汽车内燃发动机电子控制单元的安全架构的方框图。 图5示出了如何在图4中的汽车内燃发动机电子控制单元中传导过电压的方框图。 【具体实施方式】 下面将参照附图对本专利技术进行详细的说明，以使技术人员可以实现和使用本专利技术。对于技术人员而言，对所描述的实施例的各种修改是显而易见的，且在不脱离由所附权利要求限定的本专利技术保护范围的情况下，所描述的一般原理也可能应用于其他实施例和应用中。因此，不应认为本专利技术局限于所描述和示出的实施例，而应该在符合本文所述和所要求的原理及特征时，给予最广泛的保护范围。 图1示出了原理方框图，其示出了这样的方法，其中按照质量管理标准通过所开发的集成电路，由F表示的汽车安全相关的功能可如此实现为与ASIL B兼容。 所述集成电路，以下简称为U-chip (伞型芯片(Umbrella-Chip))，除了别的以外，还致力于实现功能F，其布置在汽车内燃发动机电子控制单元(由ECU表示)中。所述集成电路是与所述ECU的微控制器(由UC表示)不同且与其进行通信的电子组件，且所述集成电路还被设计用来实现与质量管理兼容的功能，因此，这些与质量管理兼容的功能无法达到实现功能F所需的ASIL B。 无论下文关于功能F指出什么和在图1中示出什么，其对于由U-Chip所实现的每一个功能F都是有效的和可重复的，U-Chip需要经与ASIL B的需求相兼容的E⑶来实现。 参照图1，为保证具有ASIL B的E⑶来实现F，U型芯片除了功能F之外还实现诊断功能(由DIAG表示)，其被设计用来检测可能损害F正常实现的故障。由于其由U-Chip来实现，因此DIAG的实现显然与F的实现具有相同的质量管理汽车安全完整性等级(QMAS IL)。 监测功能(由MON表示)被设计用来监测DIAG的可操作性，且尤其用于检测那些可能损害DIAG诊断能力的效力的故障，然而，监测功能由ECU的μ C来实现，其被设计用来实现具有ASIL B的功能，且其可以免受在DIAG或F实现中的故障所导致的功能性干扰。 图2示出了由U-Chip实现的所述功能F的方框图，其包括: ?智能功能，其包括: -智能曲柄管理 -智能监视器(watchdog)装置 -飞轮接口 -唤醒和电源使能逻辑 .电源包括 -ECU 电源 -传感器电源 ?通信接口包括 -MSC (微秒通道)接口 -LIN (本地互连网络)收发器 -CAN(控制器局域网络)收发器 .负载驱动通道。 而图3示出了 F和DIAG如何在U-Chip中实现的方框图，其中: -TC是测试控制器，其被设计用来使能和同步化DIAG的实现， -⑶T是被测电路，其被设计用于实现将由DIAG监测的功能F， -TPG是测试图案生成器，且被设计用于测试⑶T的正确运行， -ORA是输出响应分析器，其被设计用于比较测试结果，且尤其用于比较⑶T的输出和期望输出并提供测试成功或测试失败的指示， -1IC是输入隔离电路，其被设计用于当必须实现DIAG时连接⑶T输入和TPG， -OIC是输出隔离电路，其被设计用于当必须实现DIAG时连接⑶T输出和0RA。 通常，DIAG通过以下信号进行管理: -MSC_BIST_ENABLE:来自μ C的本文档来自技高网...

【技术保护点】
一种汽车内燃发动机电子控制单元(ECU)，其用来实现具有预定的汽车安全完整性等级(ASIL)的安全相关的功能(F)；其中汽车电子控制单元(ECU)包括微控制器(μC)和与微控制器(μC)不同且与其通信的集成电路(U‑Chip)；其中微控制器(μC)被设计用于实现一个或多个其汽车安全完整性等级与汽车电子控制单元(ECU)所需要的汽车安全完整性等级相同的安全相关的功能(F)；其中集成电路(U‑Chip)被设计用于实现一个或多个其汽车安全完整性等级低于微控制器(μC)的汽车安全完整性等级的安全相关的功能(F)；其中集成电路(U‑Chip)还被设计用于为每个所实现的安全相关的功能(F)实现相应的诊断功能(DIAG)，诊断功能(DIAG)被设计用于检测安全相关的功能(F)的实现中的故障；以及其中微控制器(μC)被设计用于为每个所实现的诊断功能(DIAG)实现相应的监测功能(MON)，以检测那些可能损害诊断功能(DIAG)的诊断性能的故障，监测功能(MON)被设计用于监测集成电路(U‑Chip)的相应的诊断功能(DIAG)的实现。

【技术特征摘要】
2013.07.30 IT TO2013A0006461.一种汽车内燃发动机电子控制单元(ECU)，其用来实现具有预定的汽车安全完整性等级(ASIL)的安全相关的功能(F);其中汽车电子控制单元(ECU)包括微控制器(μΟ和与微控制器(UC)不同且与其通信的集成电路(U-Chip);其中微控制器(yc)被设计用于实现一个或多个其汽车安全完整性等级与汽车电子控制单元(ECU)所需要的汽车安全完整性等级相同的安全相关的功能(F);其中集成电路(U-Chip)被设计用于实现一个或多个其汽车安全完整性等级低于微控制器(yC)的汽车安全完整性等级的安全相关的功能(F);其中集成电路(U-Chip)还被设计用于为每个所实现的安全相关的功能(F)实现相应的诊断功能(DIAG)，诊断功能(DIAG)被设计用于检测安全相关的功能(F)的实现中的故障；以及其中微控制器(μ C)被设计用于为每个所实现的诊断功能(DIAG)实现相应的监测功能(MON)，以检测那些可能损害诊断功能(DIAG)的诊断性能的故障，监测功能(MON)被设计用于监测集成电路(U-Chip)的相应的诊断功能(DIAG)的实现。2.根据权利要求1所述的汽车内燃发动机电子控制单元，其中，监测功能(MON)被设计用于再实现由诊断功能(DIAG)实现的测试来核实安全相关的功能(F)和诊断功能(DIAG)的正常实现；而其中监测功能(MON)还被设计用于当安全相关的功能(F)测试失败或者诊断功能(DIAG)报告的测试结果与监测功能(MON)报告的测试结果之间不相符时触发安全反应。3.根据权利要求2所述的汽车内燃发动机电子控制单元，其中，由监测功能(MON)触发的安全反应包括切断汽车安全相关的负载的电源。4.根据权利要求1所述的汽车内燃发动机电子控制单元，其中，汽车电子控制单元(ECU)所需要的安全相关的功能(F)的实现的汽车安全完整性等级是ASIL B，而集成电路(U-Chip)所需要的安全相关的功能(F)的实现的汽车安全完整性等级是ASIL QM(质量管理)。5.根据权利要求1所述的汽车内燃发动机电子控制单元，其中，安全相关的功能(F)包括以下的一个或多个: ?智能功能，其包括: -智能曲柄管理 -智能监视器(watchdog) -飞轮接口 -唤醒和电源使能逻辑 ?电源，其包括 -ECU电源 -传感器电源 ?通信接口，其包括 -MSC (微秒通道)接口 -LIN(本地互连网络)收发器 -CAN(控制器局域网络)收发器 ?负载驱动通道。6.根据权利要求1所述的汽车内燃发动机电子控制单元，其中，集成电路(U-Chi...

【专利技术属性】
技术研发人员：P·卡尔博纳罗，G·达拉拉，A·富萨里，A·佩佐利，F·特拉韦尔西，L·兰贝蒂尼，
申请(专利权)人：马涅蒂马瑞利公司，埃克塞达发展有限公司，
类型：发明
国别省市：意大利;IT